<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>

<body>
    <!-- 

        XSS 有哪些注入的方法：

        在 HTML 中内嵌的文本中，恶意内容以 script 标签形成注入。
        在内联的 JavaScript 中，拼接的数据突破了原本的限制（字符串，变量，方法名等）。
        在标签属性中，恶意内容包含引号，从而突破属性值的限制，注入其他属性或者标签。
        在标签的 href、src 等属性中，包含 javascript: 等可执行代码。
        在 onload、onerror、onclick 等事件中，注入不受控制代码。
        在 style 属性和标签中，包含类似 background-image:url("javascript:..."); 的代码（新版本浏览器已经可以防范）。
        在 style 属性和标签中，包含类似 expression(...) 的 CSS 表达式代码（新版本浏览器已经可以防范）。

        总之，如果开发者没有将用户输入的文本进行合适的过滤，就贸然插入到 HTML 中，这很容易造成注入漏洞。攻击者可以利用漏洞，
        构造出恶意的代码指令，进而利用恶意代码危害数据安全。

     -->
    <a href="javascript:alert(&#x27;XSS&#x27;)">跳转...</a>
</body>

</html>